Au début du mois, un développeur a découvert qu’Instagram et Facebook pouvaient enregistrer tout ce qu’un utilisateur faisait sur les pages Web. Et ce, par l’intermédiaire de leurs navigateurs Aujourd’hui, de nombreuses applications possèdent des navigateurs intégrés. Ces derniers permettent d’ouvrir des liens de sites Web sans avoir à quitter l’application. Mais attention, pour des questions de vie privée, les connaisseurs vous déconseilleront catégoriquement l’utilisation de ces navigateurs. Voici pourquoi. Vos données privées en danger Petit à petit, plusieurs applications ont fait du navigateur interne de certains utilisateurs, leur navigateur par défaut. Au plus grand dam de leurs données personnelles. Les navigateurs intégrés sont ceux qui s’ouvrent après qu’un utilisateur a cliqué sur un lien ou une publicité au sein d’une application. Autrement dit, ils permettent d’ouvrir des liens vers des sites Web, sans avoir à fermer l’application. En examinant l’activité du navigateur intégré dans les applications de Facebook et d’Instagram, Felix Krause, le développeur à l’origine de la plateforme Fastlane, a découvert que ces applications avaient la capacité de surveiller et d’enregistrer les activités effectuées. Et donc, d’extraire des données par le biais de ces navigateurs. Pour accéder à ces données, les applications injectent du code javascript sur chacune des pages affichées par le navigateur. À savoir qu’un code javascript est un langage de programmation de scripts que le navigateur Web du visiteur exécute. Krause contre les réseaux “Je n’ai pas la liste des données précises qu’Instagram renvoie. En revanche, j’ai la preuve que les applis Instagram et Facebook exécutent activement des commandes JavaScript pour injecter un SDK JavaScript supplémentaire sans le consentement de l’utilisateur, ainsi que pour suivre les sélections de texte des utilisateurs”, explique le développeur dans son rapport. Ce à quoi Meta a répondu que ces affirmations étaient fausses et déformaient la façon dont le navigateur in-app et Pixel de Meta fonctionnaient. “Nous avons intentionnellement développé ce code pour honorer les choix des gens en matière de transparence du suivi des applications sur nos plateformes”, affirme la maison mère de Facebook à The Verge. Ce javascript servirait à ce que les données ne soient pas utilisées à des fins de publicité ciblée, affirme la société à PC Mag. Elle assure ne suivre aucune autre activité de l’utilisateur. De son côté, TikTok a répondu dans une déclaration à Motherboard, rapportent nos confrères de The Verge “Les conclusions du rapport sur TikTok sont incorrectes et trompeuses. Contrairement à ce qu’il prétend, nous ne collectons pas les saisies de touches ou de texte par le biais de ce code, qui est uniquement utilisé pour le débogage, le dépannage et le contrôle des performances”, affirme le réseau social. Éviter de se faire “espionner” L’introduction de ces scripts personnalisés dans des sites Web tiers permet donc à ces applications de surveiller toutes les interactions des utilisateurs. Par exemple, les mots de passe, les adresses et les numéros de carte de crédit saisis sur des pages Web, les boutons et les liens sur lesquels a cliqué l’utilisateur, les sélections de texte, ou encore les captures d’écran. Pour plus d’informations, le site inappbrowser.com, créé par Felix Krause, permet aux utilisateurs de voir quels JavaScript supplémentaires sont exécutés lorsqu’ils utilisent un navigateur in-app. Pour déjouer ce processus de collecte des données, la solution est simple. Après avoir accédé à un lien ou cliqué sur une publicité sur Instagram ou de Facebook, il suffit de toucher l’icône du menu et de choisir l’option “ouvrir avec le navigateur”. Mettre à jour les paramètres de l’application et du navigateur constitue aussi une porte de sortie. Cela fonctionne sur Android et iOS.